La gestion des identités permet d'unifier la gestion des droits d'accès des utilisateurs aux différents systèmes et applications de l'entreprise. Elle simplifie la vie des utilisateurs en homogénéisant leurs identifiants et mots de passe, en leur évitant de "rejouer" ces derniers lors de l'accès à chaque ressource et en leur permettant, via un portail, de les changer eux-mêmes ou de les retrouver. Ce confort se traduit par une diminution du nombre d'appels au support technique donc de son coût.
Un référentiel unique chapeautant toutes les ressources
"Il s'agit de savoir à tout moment qui a accès à quelles ressources tout en gérant le cycle de vie de chaque employé, de son entrée dans l'entreprise à sa sortie. Lorsqu'une telle gestion est déficiente, les nouveaux employés perdent leur temps à demander des droits durant des semaines. Et quand ils partent, on risque d'oublier de supprimer certains de leurs droits, ce qui laisse des failles de sécurité béantes !", explique Charles Dupont (photo), directeur technique EMEA pour la gestion des identités chez BMC.
Le coeur d'un tel projet réside dans la constitution d'un référentiel des utilisateurs, dans lequel sont rassemblés les droits d'accès aux différents systèmes et applications (qui possèdent leurs propres annuaires), avec un identifiant et un mot de passe unique pour chaque utilisateur. Ce référentiel peut être un nouvel annuaire ou l'un des annuaires existants, par exemple celui de la gestion des ressources humaines ou de la messagerie, auquel on ajoutera les champs nécessaires. Un outil dit de "provisioning" réalise la synchronisation mono ou bidirectionnelle du référentiel avec les différents annuaires. Les personnes à qui l'on attribue des droits et celles qui les attribuent dépendent de leurs rôles. Il s'agit donc de décrire dans le référentiel l'organisation de l'entreprise, que l'on devra donc préalablement modéliser. En amont, l'ajout et la suppression de droits peuvent en outre nécessiter l'approbation de plusieurs personnes. C'est pourquoi l'outil de provisioning intègre désormais un moteur de workflow.
"Les droits seront attribués par des règles qui tantôt seront appliquées automatiquement, tantôt impliqueront une validation humaine", précise Hervé Lemaitre (photo), responsable avant-vente chez Novell. Certes, le référentiel homogénéise les identifiants et mots de passe. Mais l'utilisateur doit toujours les saisir lors de l'accès à une ressource. C'est pourquoi une offre de gestion des identités comprend aussi une solution de SSO (Single Sign-On, signature unique) qui rejoue automatiquement la procédure de connexion à une ressource, sur le poste client ou, dans le cas d'applications web, sur un portail. D'autre part, le couple identifiant/mot de passe peut être remplacé par une solution d'authentification forte basée sur la génération de mots de passe dynamiques ou sur une infrastructure à clés publiques (PKI, Public Key Infrastructure).
Des avantages qui peuvent séduire les PME
Annuaire, SSO, moteur de provisioning, authentification forte? les principales briques de la gestion des identités sont anciennes mais la nouveauté vient de leur fédération au sein d'architectures cohérentes dont la mise en oeuvre est facilitée par l'émergence d'offres globales chez Novell, Evidian, Oracle, HP, IBM, BMC, Sun ou CA. Tandis que quelques spécialistes comme RSA Security ou Entrust tirent encore leur épingle du jeu dans le domaine de l'authentification forte.
La gestion des identités est souvent réservée aux grands comptes. Mais les PME peuvent en tirer avantage. "Tout dépend de l'hétérogénéité du système d'information. S'il y a juste un annuaire Active Directory et un serveur Exchange, un tel projet est inutile. Mais il se justifie à partir de quatre ou cinq ressources différentes, telles que messagerie, réseau, CRM et gestion des notes de frais", estime Charles Dupont. Et d'ajouter : "un tel projet est plus simple dans une PME car il y a moins d'utilisateurs et de batailles politiques. Quant au coût, il est de 500 à 1000 euros par utilisateur".
Il reste qu'un projet de gestion des identités vraiment complet reste lourd. "Parce qu'il s'étale sur plus de six mois, il ne se justifie que si l'on veut un seul référentiel des utilisateurs et des droits. Mais si l'on souhaite juste améliorer le confort et réduire les coûts du support liés à la gestion des mots de passe, un projet de SSO déployé en moins d'un mois est suffisant", estime Bernard Montel (photo), responsable avant-vente chez RSA Security.
Lire aussi :
Badge de sécurité unique : l'authentification simplifiée